Recentemente, falhei em uma verificação de conformidade com PCI devido ao seguinte:
Este servidor DNS permite transferências de zona irrestritas. Os invasores podem usar essas informações para obter conhecimento sobre a estrutura de suas redes para ajudar na descoberta de dispositivos antes de um ataque real.
E a solução sugerida é a seguinte:
Reconfigure este servidor DNS para restringir transferências de zona apenas a servidores autorizados específicos.
Estou executando um servidor Linux Centos dedicado.
Meu entendimento é que preciso editar o arquivo /etc/named.conf, o que fiz e a parte relevante é a seguinte:
options {
acl "trusted" {
127.0.0.1;
xxx.xxx.xxx.001; //this is one of the server's ip's
xxx.xxx.xxx.002; //this is another server's ip
};
allow-recursion {
trusted;
};
allow-notify {
trusted;
};
allow-transfer {
trusted;
};
};
Em seguida, reiniciei o serviço nomeado /etc/rc.d/init.d/named restarte solicitei uma nova verificação, que falhou novamente pelo mesmo motivo.
Estou faltando algo óbvio aqui?
Responder1
Verifique o restante do seu arquivo de configuração (que você não postou aqui) para ter certeza de que a transferência de permissão não está sendo substituída pela configuração da zona em questão.